过去一年恶意API流量激增近7倍，API安全路在何方？

随着敏捷开发的迅速发展，如今Web应用程序编程接口 (API) 的使用量急剧增加，由此导致以软件为中心的公司暴露出更大且更易受威胁的攻击面。

API的使用量在过去一年迅速飙升，随之而来的安全问题也在激增。API安全厂商Salt Security在3月份发布的API安全状况报告显示，在过去一年中，恶意API流量激增了近7倍。

有专家表示，随着开发方式发生变化，第三方软件组件暴露出API漏洞的风险不断增加，攻击者越来越多地瞄准在这些脆弱的API接口。

总体来说，API受到攻击者如此关注的原因包括：目标好找，API天然就是公开且暴露的；攻击潜在收益高，API携带大量重要数据和认证信息，一旦攻击者成功突破API，可直达核心系统；防范难度大，大量的API权限控制不够精细，很容易被攻击者找到漏洞，从而轻易绕过边界防护。

API安全已成是应用安全的最大挑战之一。传统开发团队对安全性的欠缺，导致这些安全风险急剧增加。许多企业甚至不清楚它们的API的具体应用情况，更不要说相应的安全措施了。

向云原生和敏捷开发方式的转变是应用爆发式增长的推动力。API安全厂商Noname Security认为，一般应用程序开发的时间为两到三周，因此开发团队可能有几十个机会将API错误配置和漏洞引入服务或应用程序。.

S&P Global Market Intelligence和Noname Security联合发布的“2022 API安全趋势报告”显示，平均每家公司拥有近15600个API，过去一年中API安全事件的发生率为41%。然而，API安全供应商用来收集数据的不同标准使这些情况变得复杂。Salt Security的API安全状况报告发现，平均客户拥有135个API，API安全事件发生率为95%。

虽然二者统计数字有所不同，但都显示出API使用量以及恶意API流量的显著增长趋势。

因此，企业需要充分理清自己的API使用情况，包括API来源、类型、数据敏感性、所有者以及API访问的授权情况。

比较理想的情况是，开发团队为每个API创建规范文件并让它们保持最新。

保护API的措施与应用程序的整体安全性密切相关。专注于安全设计和威胁建模意味着需要在漏洞恶化之前阻止它们。Salt Security认为，应用部署后的测试和监控API使用情况与其他网络安全问题同样重要。

通过在设计阶段就充分考虑API安全性，以此来尽早解决尽可能多的安全问题，这一理念非常重要。

随着安全左移理念的普及，为左侧（开发侧）提供管道安全性非常重要，无论工具有多好，都永远无法捕捉到在开发阶段遇到的所有问题。因为它不能替代运行时安全性。将安全融入开发全生命周期才是最为重要的。